IDS洪流报警报警过滤报警聚合报警关联硕士论文

1、基于属性相似度的报警关联系统的研究与实现通信与信息系统， 2011， 硕士【摘要】 IDS(Intrusion Detection Systems)旨在检测网络入侵行为,当前的IDS普遍存在以下问题:1)洪流报警:普通的IDS每天几乎能产生数百甚至上千的报警,报警中的大部分都是误报警(false- negative)和重复报警;2)低级报警:大部分基于规则的IDS在工作的过程中,只要检测到满足某个特征的数据包便会产生报警,通过这些低级独立的报警信息很难关联和分析出攻击者的意图;3)报警独立:IDS只能针对不同的攻击产生相互独立的报警,不能报告诸如DDOS和蠕虫病毒等大范围的攻击。本文针对洪流报

2、警和低级报警问题进行了如下的研究:(1)对现有报警相似度计算方法进行了研究和对比分析,确定了IP地址,端口和报警类别相似度的计算方法,并对时间相似度算法进行了重点研究。通过实验分析了报警之间时间相似度的变化趋势及数学模型,给出了本文采用的时间相似度算法和参数的取值。这些相似度算法构成了报警属性相似度综合算法的基础模块。(2)设计了基于属性相似度的报警信息聚合关联系统,针对IDS存在的不同问题,采用不同的模块予以处理,具体包括:采用报警过滤器来过滤重复报警;采用聚合器来关联低级别的. 更多还原【Abstract】 IDS(Intrusion Detection Systems) aim

3、s at detecting network intrusion behaviors. For the present, the IDS have the following disadvantages:(1)Flood Alert: An ordinary IDS almost produces hundreds of alerts per day, and most of them are false-negative and repetitive alerts. (2)Primitive Alert: most rule-based IDS will produce alert as l

4、ong as certain packets was detected. With these primitive and individual alert information, it is hard to correlate and analyse the attackers intention. (3) Indepe. 更多还原 【关键词】 IDS； 洪流报警； 报警过滤； 报警聚合； 报警关联； 【Key words】 IDS； Flood-Alerts； Alert-Filter； Alert-aggregation； Alert-correlation； 摘要 3-4

5、Abstract 4 第一章 绪论 7-13 1.1 研究背景 7-8 1.2 国内外IDS 研究现状 8-10 IDS 的发展 8-9 IDS 研究现状 9-10 1.3 本文的研究内容及组织结构 10-13 本文研究内容和意义 10-11 本文组织结构 11-13 第二章 相关背景知识 13-27 2.1 入侵检测技术 13-18 2.2 数据挖掘基础 18-22 2.3 数据挖掘在入侵检测系统当中的应用 22-24 2.4 常用的报警关联方法 24-25 2.5 本章小结 25-27 第三章 报警属性相似度研究 27-41 3.1 报警信息的格式化 27-31 报警属性的选取 29-30

6、 报警之间的关系 30-31 聚合关联中相关术语定义 31 3.2 报警相似度计算 31-35 全局相似度的计算 31-32 IP 地址相似度的计算 32-33 端口相似度的计算 33-34 报警类别相似度的计算 34 报警时间相似度的计算 34-35 3.3 时间相似度的研究 35-40 研究现状与问题 35-36 参数选取的方法 36-38 分析与结论 38-40 3.4 本章小结 40-41 第四章 报警聚合关联系统结构设计 41-57 4.1 总体设计 41-45 总体结构 41-42 报警关联系统总体设计 42-45 4.2 模块设计 45-55 报警过滤器的设计 45-48 报警聚合器的设计 48-52 报警关联器的设计 52-55 4.3 本章小结 55-57 第五章 测试与结论 57-65 5.1 测试准备 57-59 测试环境介绍 57-58 测试数据的介绍 58-59 5.2 测试结果的分析 59-64 各模块统计数据分析 59-60 对周四攻击的详